EUの一般データ保護規則(GDPR)に関して、「自分の会社には関係ないよね。きっと。」とか「無視したいな。」とか思っている方向けの記事。
GDPRの認知度や対応済み企業って、日本ではまだまだ非常に少ない。でも、実は、GDPR対応をあきらめるためにできることがある。GDPRをあきらめるために、これだけはやっておきたい。
まずはじめに、法律のおさらいから。
では、まず「GDPRってどのような法律でしたっけ?」という確認。
GDPRって?
2018年5月25日より施行された、EEA域内(EU+3ヶ国)に所在する人の個人データの取り扱いを定めたEUの法律です。(EUの法律なのですが、日本で扱うEEAの個人情報も対象になっているので、日本でも対応が必要となっています)
目的は?
個人情報の保護と基本的人権の尊重を目的にしていて、個人には自身の情報をコントロールするための権利が与えられ、企業には個人の権利に対応する義務が課されます。(例えば、企業が管理している個人情報の閲覧や、消去や、処理に関する説明を求める権利が個人に与えられます)
どんなリスクがあるの?
GDPRは罰則が話題になった法律でもあり、最大26億円ほどの制裁金が定められています。金銭的なリスクのほか、訴訟などの法的リスク、世界的な評価や今後の事業に影響を及ぼすレピュテーションリスクが考えられます。
GDPRで求められる要件
端的に言い換えると「個人データを適切に扱い、個人の同意を得ていること」、「GDPRで個人に与えられた権利への対応」、「個人データ保護の対策」、「トラブル対応」の4つです。
これら4つの要件において監督機関が重視するのは、GDPR対応への取り組み姿勢です。法律の遵守に関して、取り扱う個人情報や企業の事情に見合った運用がなされているかが問われます。
実は、日本でも今年の6月に、プリンスホテルが違反の可能性があるとされ、GDPRの調査対象になった。
その後の動きとしては、プリンスホテルがGDPRを遵守する対応を速やかに実施しているため、制裁金の罰則にまでは発展しないとの見方もあるのだけど、結論はまだこれから、という状況。(2018年10月時点)
「ちゃんとやっていたつもりだったけど、トラブルが発生してしまった」、この時点で罰則の適用には至らないところがポイント。"GDPRで求められる要件"で先述した通り、「トラブルが発生したけど、トラブルに対してきちんと対応をしたかどうか」が調査で重要視される。
例えば、よくあるWEBサービス系の企業なら、以下のような対応ができるかもしれませんね。というものを書いてみました。(実際の対応は、もちろん各社の実情に基づいた方針で運用を展開していく必要があります)
・データ取扱いの"同意"は、利用規約を改訂
・個人から要求を受ける"同意の撤回"や"異議権"は問い合わせページ
・データ入手時に一定情報を知らせる"情報権"はメール通知
・データの"訂正権"はマイページ等で利用者自身が訂正
・データ利用の"制限権"は会員制であれば退会やメルマガの停止
・"自動化された個人の判断に関する権利"はCookie取得同意を追加
・"完全性の確保"や"可用性"、"データ回復"はDB冗長化等インフラ
・"個人データの処理の活動記録"はログ管理
以下は、何かしらのシステム改修がきっと必要になると思います。
・"機密性"は、例えば利用制限をする機能
・データ提供の"アクセス権"や"データポータビリティ権"はデータ出力
・データの"消去権"や"暗号化・仮名化"は削除機能
※扱う情報や事情にも依ります。また法律遵守を約束するものでなく参考情報です。(←こういうの明記しとかないといけないんです)
まずはきちんと弁護士に相談。
GDPRは何かトラブルがあったからといって、すぐに罰則が適用されるわけではない。「そもそも運用ではGDPRが考慮されていたのか?」という観点はありますが、「トラブルに誠意をもって対応してくれたのか?」という観点は非常に重視される。GDPRを生真面目にやりきらなくても、「GDPRに誠意をもって対応してますよ!」を言うために、弁護士と相談してみよう。
GDPR対応に関して危機感を煽りまくる情報をよく見かける。散々脅迫したあとは「GDPRに対応できるか、簡易調査をしますよ。」といったビジネスさえ展開されている。
本記事の目的は最低限やっておくべきことの紹介。まずちゃんと事実を知って、それぞれの企業が弁護士と相談して、それぞれの企業の事情に見合った運用を構築することをオススメします。
あとがき
本記事では、Keiさんの以下の記事で紹介されていた"線の画像"を利用しました。